Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 65 reacties

Iraanse hackers infiltreerden in 2013 het systeem voor de bediening van een kleine dam in de buurt van New York, meldt The Wall Street Journal. Er zou geen schade zijn aangebracht, het zou slechts om een verkenning van het systeem zijn gegaan.

De krant geeft aan dat de informatie afkomstig is van overheidsfunctionarissen die bekend zijn met het incident. Het was de overheidsinstanties destijds niet meteen duidelijk welk systeem geïnfiltreerd was. De indringers werden opgemerkt tijdens een internetaanval op Amerikaanse banken vanuit Iran. De NSA speelde het incident door aan Homeland Security toen bleek dat er actief werd gezocht naar via het netwerk toegankelijke industriële controlesystemen. Uiteindelijk werd duidelijk dat de hackers het bedieningssysteem van de dam via een gsm-modem zijn binnengedrongen. Het ging om een ongeveer zes meter hoge dam in de buurt van New York.

Hoewel er geen schade is aangericht was het een belangrijke gewaarwording voor de Amerikaanse overheid, laten de bronnen van The Wall Street Journal weten. Het bleek dat de aanvalscapaciteiten van Iran groter waren dan gedacht en dat er daadwerkelijk schade aangericht had kunnen worden. Ook de onduidelijkheid rond het incident liet zien dat er nog veel verbeterd kan worden als het gaat om de verdediging tegen internetaanvallen. In Europa was er in 2014 een incident in Duitsland waarbij hackers aanzienlijke schade hebben aangericht bij een hoogoven.

Meer informatie over de kwetsbaarheid van industriële beheersystemen staat in het achtergrondartikel Scada-beveiliging: een structureel probleem.

Moderatie-faq Wijzig weergave

Reacties (65)

Hoe dat kan dat zulke systemen aan "internet" hangen ?

Simpel :

Vb 1 : Fabriek x in Nederland heeft een industrieel systeem, dat bediend wordt door software van firma Y uit Canada. Zolang alles in orde, geen probleem. Wel een probleem met de software, dan moet firma Y ofwel tot in Nederland komen, of men hangt het ding op het internet, en men kan proberen het remote op te lossen.

Vb 2 : Firma x wil besparen op personeelskosten op 10 kleine stuwdammetjes, door de controlekamer niet meer in elke stuwdam te zetten met daarin 5 man per dam, maar 1 centrale controlekamer met 5 man. Bediening van de 5 stuwdammen gebeurd dan vanop remote via ... jawel, het internet.

Vb 3 : De industriele gegevens van meters, sturing, etc moeten gebruikt worden op een bureautica netwerk voor administratieve doeleinden, rapportage, .... Effe 2 firewalls ertussen met daartussenin een DMZ zone, en je kan je data van het industriele netwerk naar het bureauticanetwerk doorgeven. Maar als er een gaatje in je firewall zit .... staat ook je industriele netwerk op het internet.

Vb 4 : Firma Y heeft bij firma X een proefproject draaien voor een extra analyse of waterverberingsinstallatie op een waterzuiveringsinstallatie. Firma Y wil wel geen extra paar man hiervoor bij firma x plaatsen ivm met loon/projectkosten. Dus zetten we een 3G/4G modempje op het proefproject gedeelte, wat ook een koppeling heeft met het industriele netwerk van firma X, en hoppaaaa, je hebt weer een constante verbinding met internet.

En als je wil kan ik nog wel even doorgaan.
Je kan het bijna niet meer wegdenken in de industrie dat het gebeurd, en onder het mom van kostenbesparing, verlaging en administratieve vereenvoudiging wordt door projectleiders een boel "acceptabel" genoemd, terwijl het eigenlijk naar de toekomst toe 1 groot risico vormt dat door IT diensten dikwijls wordt aangehaald maar meestal wordt weggelachen, want "hey, gekke IT nerds moeten weer overdrijven" en "maar dat bespaard ons x miljoen euro/jaar".
Zijn dat de zogeheten SCADA systemen? Schijnt vrij eenvoudig te zijn (met reeds aanwezige kennis) met bepaalde zoekmachines.
Je wilt niet weten wat je allemaal via shodan kan vinden.
Hier wat VNC verbindingen zonder wachtwoord en een mooie screenshot preview bij sommigen:
https://www.shodan.io/search?query=RFB+disabled
Hier staan graanschuren op, pc workstations, raspberry pi's, verwarmingsketels,...
En dan kan je op shodan ook nog gaan zoeken scada systemen waar je voor 300 euro in de black market een heel arsenaal exploits packs kan kopen om deze te rooten.
Het is gewoon triestig hoor.
Zolang het om een graanschuur gaat is het nog "grappig". Maar als je in dit geval even kan rommelen met een dam dan is het een pak ernstiger.
Leuke voorbeeldjes:
https://www.shodan.io/host/191.5.164.197
https://www.shodan.io/host/166.200.119.45

[Reactie gewijzigd door lampstoelkast op 21 december 2015 16:27]

Ja, Shodan.io bedoel ik inderdaad. Volgens mij het topje van de ijsberg, verkeerslichtsystemen e.d. zijn ook vaak SCADA. En los daarvan is er genoeg andere openbare apparatuur te vinden welke eigenlijk niet openbaar te bereiken zouden moeten zijn.

Zouden moeten zijn ja..
gozer.. weet je wel wat SCADA is?

je moet toch een bedieningspanneel hebben? ...

De regel is, de boel (process control) mag niet aan het internet hangen. Wat dit is (PLC,DCS,HMI,SCADA), maakt niet uit. Maar er zijn genoeg cowboys die dat wel doen, tja dat is dan niet ons probleem.

Veel boeren (farmers) willen voor een euro op de eerste rij zitten, ja en dan krijg je spullen waar de beveiliging van achter is gesteld. maar de boeren hebben geen idee en hebben totaal geen intresse in mogelijke problemen. Hun probleem, wij hebben het aangegeven.

[Reactie gewijzigd door Luukje01 op 22 december 2015 09:53]

Keep in mind dat er wel aardig wat honeypots tussen zitten bij Shodan - maar inderdaad, d'r staat nog veel open, voornamelijk machines waar niemand meer naar omkijkt danwel waar systeembeheerders de 'If it ain't broken, don't upgrade' methodiek toepassen.
Waarom zitten dat soort systemen gekoppeld aan het internet?
Het lijkt of de systemen NIET op het internet aangesloten waren: "Uiteindelijk werd duidelijk dat de hackers het bedieningssysteem van de dam via een gsm-modem zijn binnengedrongen"
ik kan hier een mooie samenvatting schrijven, maar dit: https://www.rijksoverheid...-voor-vitale-sectoren.pdf vat de volledige discussie wel samen.
Waarom zitten dat soort systemen gekoppeld aan het internet?
Omdat de dam dan onbemand kan zijn of zelfs helemaal geen personeel op de dam (behalve voor evt onderhoud) zodat dat centjes bespaard wat allemaal geïnvesteerd kan worden in het Amerikaanse leger of de NSA.

Maar even zonder grappen, om het geld dus. Als je meerdere kleine dammen op een plek kan aansturen bespaard dat enorm veel geld.
Maar dan nog is het steeds een goede vraag.

Want er zijn meer dan voldoende opties om systemen remote te beheren zonder dat je direct via het www gaat? Je zou ook best een dedicated / fysiek gescheiden netwerk kunnen gebruiken.

Kosten zou een reden kunnen zijn om het niet te doen, maar ik kan mij niet voorstellen dat er niet voldoende andere opties zijn. Zelfs tegen redelijke kosten.
Ik denk dat het eerder gemak zucht is om de boel aan het "gewone" internet te hangen. Lekker makkelijk, lekker snel, infra liggen er toch al, beetje logische scheiding invoeren en gaan.
Maar een fysieke scheiding is natuurlijk wel veel veiliger dan een logische scheiding.

Maar zoals altijd, de mens is toch de zwakke schakel, ff een usb-stick in een systeem op een afgeschermde omgeving en dan ben je weer het bokje....

100% veilig zal er nooit en te nimmer komen. :X
Via een apart netwerk is gewoon onbetaalbaar als je vele locaties wenst aan te sluiten. En dan is de kans alsnog groot dat er tussen dat gesloten netwerk en het internet vroeg of laat ergens een link gelegd word.
Het is niet alleen duur om voor alles een aparte infrastructuur aan te leggen, het is ook potentieel onbetrouwbaarder. Als op het laatste stukje het draadje kapot gaat, dan zal het in beide gevallen gerepareerd moeten worden (als er ook nog 500 consumenten/bedrijven zonder internet zitten zal het al een stuk sneller gaan). Gaat er echter halverwege een draadje kapot, dan heb je goede kans dat het internet gewoon nog werkt, want het kan via een ander draadje worden gerouteerd. Terwijl als je een dedicated lijn voor die dam hebt je gewoon de verbinding kwijt bent. Tenzij je natuurlijk die weer redundant gaat uitvoeren, maar dat is weer duurder.
Als je kijkt naar het defensiebudget van de US ben ik het niet met je eens. Een eigen kabeltje trekken is duur, maar onbetaalbaar is onzin. 1 jaar defensie-uitgaven en het is voorelkaar, gok ik.
Apart netwerk kan natuurlijk ook gewoon VPN zijn. Hosting partijen doen hun beheer ook in interne netwerken die alleen via VPN benaderbaar zijn, waarom zouden zij dat niet kunnen dan ?

Dit is gewoon onkunde, infrastructuur aangelegd door onbekwame partijen, uiteraard geselecteerd door overheden en duur betaald met belasting centjes.
Want we hebben een internetverbinding nodig om een 'onbemande' overheidsfaciliteit instructies te geven?

Ik dacht dat o.a. om die reden de Stevinsluizen in de Afsluitdijk een afgezonderd conmmunicatiekanaal en stroomvoorziening hebben.
Misschien belangrijke dingen niet onbemand doen dan?? Denk dat het besparen niet opweegt tegenover de schade die zal ontstaan mocht het wel misbruikt worden.
Zodat er ter plaatse geen personeel aanwezig is en meerdere locaties centraal aangestuurd en gecontroleerd kunnen worden? Dat is één voorbeeld, maar er zijn er nog zo veel te bedenken natuurlijk. Eerder: waarom niet?
Waarom niet?

Lijkt me vrij logisch toch, vanwege het veiligheidsrisico van hacks?!?
Want ergens fysiek inbreken of een mannetje plaatsen is natuurlijk niet haalbaar ...
Want ergens fysiek inbreken of een mannetje plaatsen is natuurlijk niet haalbaar ...
Zal best, maar is vele malen gevaarlijker en vraagt veel meer inspanning en middelen dan hacken via internet.. Zeker als het om meer dan 1 doel gaat..
en al helemaal als het spoontaan oorlog is,
via het internet gaan ineens alle centrales op holo,
waar met de andere methode er toch echt wel voorbereiding nodig is.

nee hoor, alles wat met energie opwekking te maken heeft mag wat mij betreft mooi geisoleerd worden van het internet, alle kritieke systemen imho.
Dan kan je niets meer koppelen aan het internet. Dat is zo 1980. Alle gekheid op een stokje: de internetkoppelingen moeten gewoon beter beveiligd worden. Noteer ook dat Iran zelf het slachtoffer werd van een ingenieuze aanval opgezet door Amerikaanse havikken (Stuxnet).
Dan kan je niets meer koppelen aan het internet. Dat is zo 1980. Alle gekheid op een stokje: de internetkoppelingen moeten gewoon beter beveiligd worden.
Het feit dat het bijna 2016 is en het internet hot is is ook geen reden om zulke systemen er dan maar gewoon aan te koppelen. Daarbij zeg je zelf ook dat het beter beveiligd moet worden, dus dan is het op dit moment toch prima om te zeggen dat je het beter niet kunt doen vanwege veiligheidsrisico's. Natuurlijk is het tof om zoveel mogelijk dingen aan elkaar te knopen en kun je veel leuke dingen doen met een dam aan het internet ( :+), maar ik denk dat vele met mij vinden dat sommige systemen veel meer garanties nodig hebben dan het internet op dit moment en de nabije toekomst kan bieden. Het is een feit dat iedere connectie die je maakt een extra risico vormt. De ene verbinding meer dan andere, maar persoonlijk zie ik het internet als een vrij groot risico.

Zeggen dat het internet beter beveiligd moet worden is zeker waar, maar geen oplossing. Je schuift nu het probleem (kritieke systemen die gekraakt kunnen worden) simpelweg door naar een ander probleem. Het is jammer dat de realiteit vaak anders is dan we zouden willen, maar op dit moment is het verbinden van kritieke systemen aan het internet een slecht idee ongeacht de reden die daarachter zit.

[Reactie gewijzigd door Zenomyscus op 21 december 2015 17:33]

Mja.. Iemand daar laten staan en fysiek het gebeuren open laten zetten, kan net zo goed mis gaan.

Dus een vrij slechte reden om dingen -niet- aan te sluiten, hoewel de basis principes bij al deze instanties nog ontbreekt.
Álles digitaal is te misbruiken. punt.
Heb je daar geen scenario voor bedacht, maar wel de boel online lopen zetten : staande voet ontslag + verplicht ontslag/vervanging MT

Eigenlijk zou je inderdaad moeten zeggen.. Nooit dingen online hangen, behalve als de verantwoordelijken voldoende ervaring hebben. Anders moet de verantwoordelijkheid bij een ander.

De mogelijkheid tot het hacken van medische apparatuur blijft ook wrang :p
Crossnet-achtig netwerk is ook een optie. Niet over het publieke internet, geen VPN's, maar rechtstreeks doorgepatched op eigen routers/switches. Waarom alles over het internet? Ook een GPRS modem kun je via een eigen provider loskoppelen en alleen tot het eigen netwerk toegang geven...
Waarom niet? Alles is gekoppeld aan internet. De oplossing is om betere beveiliging toe te passen, niet de RJ-45 stekker eruit te trekken.
Hoewel dat inderdaad leuk klinkt, denk ik dat je bij zaken als hoogovens, nucleaire energiecentrales en stuwdammen, dingen die, wanneer het misgaat catastrofale gevolgen hebben, je wel drie keer mag nadenken voordat je de RJ-45 plug er überhaupt in doet. Liefst zien dit soort systemen niet in een netwerk, maar als het om goede reden (een daarmee bedoel ik dus niet de bonus van de ceo of de zakken van de aandeelhouders) dan toch moet, dan graag op een geïsoleerd netwerk. In elk geval niet aan het www.
Waarom niet? Alles is gekoppeld aan internet. De oplossing is om betere beveiliging toe te passen, niet de RJ-45 stekker eruit te trekken.
Het probleem is dat die beveiliging de veiligheid nooit zal garanderen. Misschien kan het wat garanties geven tot aan het moment van inspecteren, maar in principe mag je er niet vanuit gaan dat hetgeen wat vandaag veilig is dat morgen ook nog is. In die zin is het dus beter om dergelijke systemen niet te verbinden met het www. Je kunt de veiligheid amper garanderen in een systeem waar miljarden mensen toegang tot hebben, dus waarom het risico lopen? Net als security through obscurity is het simpelweg niet verbinden een goede eerste drempel die al vele mensen tegenhoud.
Waarschijnlijk omdat de beheerders de situatie van deze dam ook op afstand willen kunnen monitoren en eventueel willen bijstellen.
Waarschijnlijk omdat de beheerders de situatie van deze dam ook op afstand willen kunnen monitoren en eventueel willen bijstellen
Dat kan eventueel ook via een een telefoonverbinding of vaste lijn.

[Reactie gewijzigd door 80466 op 21 december 2015 16:32]

Uhm in Nederland zitten tegenwoordig van de waterschappen ook alle sluizen enz. verbonden met internet. Vroeger had de boer waar het land met de beek/sloot aangrensde de taak om de sluis te beheren (kan soms overigens nog handmatig soms voor noodgevallen)

Iemand met een beetje kennis van zaken kan bij een hoog waterstand door bijvoorbeeld smeltwater in de alpen zo de boel ontregelen dat hoogwater niet snel genoeg wordt afgevoerd. Ik heb mij altijd al afgevraagd of dit voldoende beveiligd is?
Bijvoorbeeld om direct in te kunnen grijpen als dat nodig is. Anders moet je er iemand heensturen en wie weet hoe ver die dam van de bewoonde wereld ligt. Je kunt natuurlijk ook iemand 24/7 in een huisje bij de dam zetten maar dat is een beetje begin 20e eeuw. De wissels en seinen van spoorwegen worden ook niet meer door een persoon ter plekke bediend :+
Je huis besturings systeem is OOK gewoon een scada systeem. Maar dan voor verwarming en verlichting.
En jij wil graag via je Mobiel (via het Access point van de leverancier van je Home Automation systeem) je verlichting bedienen. Je app op de telefoon en je Accesspoint praten via de internet server van je leveranscier met elkaar. ...

Bij Dammen, verkeerslichten etc. is dat eigenlijk niet anders.
Wat ik niet begrijp als leek : Oké, overheid A heeft duidelijk gaten in z'n economie zitten die via het internet te benaderen zijn. Prima, is een zwakte.

Maar dat overheid B zo overduidelijk te traceren is als de hacker, dát is ook een zwakte opzich. Zo moeilijk is het toch niet om gewoon een paar van je top programmeurs naar één of andere afgelegen stek te sturen, daar op een internetcafé wifi in jamaica de boel te laten hacken? Ontraceerbaar..of iig, véél moeilijker traceerbaar...
Amerika voert al langer een hetze tegen Iran... Vraag me af of dit bericht uberhaupt op waarheid is berust. Nee ik probeer niet te trollen o.i.d., ik ben het vertrouwen in Amerika redelijk kwijt.
Topje van de ijsberg van wat komen gaat.

Ik vraag mij soms wel eens af of het steeds krachtiger worden van computers (b.v. kwamtumcomputer) een afkeer tegen computers zal creëren. Zal men afstappen van het opslaan van gegevens online / toegang tot belangrijke system van buitenaf / vul hier in waar een kwaadwillend persoon digitaal misbruik van kan maken. De middelen om system te kraken worden steeds beter/sneller waarbij beveiliging niet sterk toeneemt (althans, ik heb niet veel veranderingen gezien hierin). De steeds verdere digitalisering (b.v. belastingdienst die offline aangifte/brieven digitaliseert) baart mij met dit soort nieuwsberichten (en b.v. de hello kitty, v-tech en noem maar op hacks) best wel zorgen.

In WO2 werden (data) registers snel verband in de hoop mensen te redden. Hoe gaan we dat vandaag de dag doen als men ongeacht de locatie toegang heeft?

edit: typos

[Reactie gewijzigd door Waterkoker op 21 december 2015 15:04]

het lijkt me dat de encryptiestandaarden gewoon meegroeien. Met de rekenkracht van tegenwoordig kun je ook al genoeg beveiliging van vroeger kraken. Soort van kip ei verhaal denk ik :)
Rusland heeft niet voor niets typemachines aangeschaft.
Ja hoor en toch maar vriendjes met ze geworden?
Het is jammer (/misschien maar goed?) dat het originele artikel achter een paywall zit waar ik nevernooitniet geld aan uit zou geven.
Gelukkig zijn er altijd nog andere bronnen te vinden en via 1 van de eerste hits zie ik meteen een foto van de dam.
http://www.myrye.com/my_w...od_04152007_elm_place.jpg
Daar zijn ze wel aan een heuse ramp ontsnapt zeg! :+

Nou zit ik er wel een beetje mee wat nou de reden is om dit nu alsnog naar buiten te brengen...
Het valt me op dat het woord stuxnet hier eens een keer niet bij genoemd wordt, maar via dat "tooltje" hebben onze vrolijke vrienden zelf natuurlijk ook wel het een en ander uitgevreten, tot bij de daders uit dit artikel aan toe. http://www.businessinside...thought-2013-11?op=1&IR=T
Is dit weer een slappe poging om ons toch maar weer eens te bewegen ons neer te leggen bij al die onsmakelijke verdragen en wetten die ze willen doorvoeren na weer een rondje (valse) angstzaaierij?
Nou zeg, gigantisch, daar hadden ze toch wel een watersnoodramp mee kunnen veroorzaken in iemands voortuin. 8)7
Dit blijft een enorm groot probleem. Recent op Devoxx nog een presentatie gezien waarbij iemand een hele hoop systemen heeft laten zien die publiek via het internet te bereiken zijn (meestal VPN zonder wachtwoord) die echt niet via het internet bereikbaar mogen zijn.

Deze is zeker het bekijken waard: 115 batshit stupid things you can put on the internet in as fast as I can go by Dan Tentler. Ook werd daar een hoogoven vermeld, waarschijnlijk was dit dezelfde oven als in het artikel?

Vooral het feit dat het melden van zulke open systemen vaak zeer moeilijk gaat of dat men zelfs kwaad op je wordt als je zo'n dingen gaat melden is te gek voor woorden.
Knap dat ze wel precies weten wie er achter zit, maar de boel fatsoenlijk beveiligen kunnen ze niet.
To Read the Full Story, Subscribe or Sign In
Kom op Tweakers.net, dit is toch geen fatsoenlijke bronvermelding?!

informatie afkomstig is van overheidsfunctionarissen die bekend zijn met het incident
Alleen hier om zouden de alarmbellen al moeten gaan rinkelen. Mensen die betaald worden om te zeggen wat ze zeggen.

De indringers werden opgemerkt tijdens een internetaanval op Amerikaanse banken vanuit Iran.
Yeah sure, tijdens het dagelijks boodschappen doen want Iraniërs hebben vrij toegang tot Amerikaanse banken en kunnen er dan ook niks aan doen dat ze opeens in een dam terecht zijn gekomen. Welke gek verzint zoiets?
Wifi netwerk: Hot dam
WPA2: Dam I'm good.

:+
een 'open' netwerk zou dan ook wel toepasselijk zijn. :+
of gewoon
user: admin
password: admin

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True